En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    Le Gala des DSI 2018

    Pour sa 6ème édition, le Gala des DSI reprendra possession du Pavillon d’Armenonville à Paris.…

    en détail En détail...
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
Appels d'offres en cours
  • Création de site Internet vitrine pour un commerce de pièces de voitures de collections
    <2000 €
    > En savoir plus
  • Dématérialisation de documents pour une société parmi les grandes entreprises de leasing
    < 10 000 €
    > En savoir plus
  • Développement sur mesure sur Excel 2007
    < 500 €
    > En savoir plus
DG_roomn2018_leaderboard

Bâtir une architecture DNS sécurisée pour la virtualisation des fonctions réseau (NFV)

GlobalK_GDPR _pave

Dilip Pillaipakkamnatt, Vice-président Service Provider Business chez Infoblox, spécialiste du contrôle du réseau, explique les étapes à respecter lorsqu’une entreprise entreprend la migration de l’infrastructure du système de noms de domaines (DNS) vers un modèle NFV.

 

Il est désormais évident que la virtualisation des fonctions réseau (NFV) offre des avantages majeurs aux opérateurs : non seulement elle participe à la réduction des coûts opérationnels et la manutention dans le déploiement de nouveau matériel mais elle accélère aussi le lancement de nouveaux services réseau. En dehors de cette flexibilité, cependant, les entreprises doivent prendre en compte plusieurs aspects importants, notamment lorsqu’il s’agit de faire migrer l’infrastructure du système de noms de domaines (DNS) vers un modèle NFV.

 

La sécurité au cœur de la migration du DNS 

Cette migration n’est pas évidente à appréhender, surtout en termes de sécurité. Face à un nombre grandissant de fonctions réseaux gérées de façon logicielle, ce changement doit s’accompagner d’une refonte de la protection traditionnelle. Voici quelques points qui soulignent la nécessité d’une approche intelligente de la sécurité en mode NFV.

  • Les firewalls et les systèmes anti-intrusion classiques ne sont pas conçus pour protéger le DNS, en particulier dans l’environnement NFV. La souplesse même de configuration qu’apportent les logiciels par rapport à une architecture traditionnelle accroît également les risques d’erreurs de configuration des fonctions réseau. Cela ouvre de nouveaux angles d’attaque, quand bien même d’autres aspects du modèle NFV renforcent la protection, tels que la visibilité centralisée et la sécurité au niveau des machines virtuelles. Même lorsque la sécurité n’est pas compromise, les problèmes de configuration peuvent avoir un effet boule de neige pouvant dégrader l’ensemble des fonctionnalités du réseau, donnant faussement l’impression d’un problème de sécurité.

 

  • Des attaques, notamment de type DDoS passant par le DNS, peuvent rapidement saturer les ressources réseau en générant un trop grand nombre de demandes de résolution pour que le système DNS puisse les traiter, aboutissant à la paralysie du réseau en raison de l’impossibilité de répondre aux requêtes légitimes. D’autres attaques falsifient des adresses IP valides afin d’aiguiller l’émetteur de la requête vers des sites Web malveillants ou se servent d’un tunnel pour attaquer des machines virtuelles spécifiques, en cryptant et dérobant des informations via des canaux qui ne sont habituellement pas analysés par les logiciels de sécurité classiques.

 

  • Les machines virtuelles (VM) permettent de centraliser le contrôle des ressources réseau et d’accélérer le déploiement de ressources à la demande. Cependant, à l’instar de leurs homologues physiques, les VM sont vulnérables à l’infection par un malware. Une fois une machine infectée, si elle n’est pas rapidement mise en quarantaine, l’infection peut se propager aux autres machines sur l’ensemble du réseau et en perturber le fonctionnement de l’intérieur. La surveillance d’un environnement virtualisé nécessite un jeu d’outils différents de ceux employés traditionnellement pour assurer la sécurité des réseaux.

 

Mise en place d’un réseau flexible et transparent

Dans la mesure où les problèmes de sécurité liés au DNS requièrent un regain d’attention de la part des opérateurs qui adoptent le NFV, ces derniers doivent veiller à ce que leur environnement de sécurité réponde à ces exigences :

  • La sécurité du NFV doit être intégrée dans l’architecture DNS et non greffée sur celle-ci. Un degré accru d’intégration grâce à la mise en œuvre d’une protection spécifique pour le DNS contribue à réduire au minimum les failles dans la couverture risquant d’être laissées par des solutions ajoutées après coup et facilement exploitées par des attaques.

 

  • Pour limiter l’impact d’une attaque lorsqu’elle se produit et la contrer le plus rapidement possible, le réseau virtualisé doit pouvoir adapter le plus rapidement possible ses ressources en activant de nouvelles machines sans qu’une intervention humaine soit nécessaire. L’ajout automatique de capacité pendant la maîtrise de l’attaque évite l’interruption des services, et donc des pertes de chiffre d’affaires et de productivité.

 

  • Face à des dangers tels que les vulnérabilités « zero day », la sécurité en mode NFV doit pouvoir détecter des menaces jusque-là inconnues par une analyse continue du comportement du réseau, tout en défendant ce dernier contre les menaces bien identifiées tels que les kits prêts à l’emploi pour un type précis d’attaque.

 

  • Une stratégie de sécurisation du DNS pour le NFV doit englober une analyse et un suivi des ressources aussi bien internes qu’externes. Si de nombreuses menaces peuvent venir de l’extérieur à l’exemple des attaques DDoS, les malwares implantés sur des VM existantes sont tout aussi dangereux. L’infrastructure virtualisée nécessite une capacité de suivi des machines virtuelles déployées, d’analyse de leurs adresses IP et de surveillance de la totalité du trafic en vue de détecter en temps réel les comportements suspects sur les VM. En outre, il doit être possible de mettre en quarantaine les VM contaminées afin de prévenir une propagation de l’infection.

 

  • Les problèmes de configuration pouvant conduire à des problèmes de sécurité et de performances, la sécurisation de l’environnement NFV doit prévoir des outils de découverte du réseau et d’automatisation afin de déterminer quelles fonctions réseau sont correctement configurées et d’identifier les problèmes potentiels.

 

Avec chaque nouvelle génération technologique, la planification du réseau a eu à gérer les risques tout en recueillant les bénéfices, et le NFV est simplement l’étape suivante vers la création des réseaux hautement dynamiques et automatisés de demain. Lorsque les opérateurs prennent en compte la sécurité de façon proactive et dès la mise en œuvre et non a posteriori, il en résulte un réseau flexible et transparent qui répond aux besoins immédiats et futurs tout en assurant la protection de précieuses ressources.

 

Bâtir une architecture DNS sécurisée pour la virtualisation des fonctions réseau (NFV)
Notez cet article

Laisser un commentaire

L’intelligence Artificielle, une vraie rupture en Cybersécurité

L'IA ne révolutionne pas seulement la perception de la cybersécurité au coeur des entreprises, elle redéfinit les règles du jeu pour l'ensemble des acteurs de la sécurité. Découvrez le livre blanc de 30 pages de iTrust

Découvrez le livre blanc de 30 pages de iTrust

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Le cofondateur russe du "site numéro un" d'achats frauduleux arrêté

    Le cofondateur russe d'un important réseau de cybercriminalité international, recherché par les Etats-Unis, a été…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Comment la gestion des données va ébranler le secteur de l’IT en 2018 ?

    La nécessité de recueillir le plus d’informations possible à partir des données collectées sera synonyme…

    > En savoir plus...
Etudes/Enquêtes
  • IA, machine learning et automatisation : les RSSI y croient

    Les RSSI misent sur l’automatisation, le machine learning et l’intelligence artificielle pour déjouer les menaces,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Guide du Cloud Public

    > Voir le livre
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
GlobalK_GDPR _skycraper